Korrigerende opdateringer til de stabile grene af BIND DNS-serveren 9.11.22 og 9.16.6, samt den eksperimentelle gren 9.17.4, som er under udvikling. 5 sårbarheder er rettet i nye udgivelser. Den farligste sårbarhed () Fjernt forårsage et lammelsesangreb ved at sende et bestemt sæt pakker til en TCP-port, der accepterer BIND-forbindelser. Sender unormalt store AXFR-anmodninger til en TCP-port, til det faktum, at libuv-biblioteket, der betjener TCP-forbindelsen, vil overføre størrelsen til serveren, hvilket resulterer i, at assertion-kontrollen udløses, og processen afsluttes.
Andre sårbarheder:
- — en angriber kan udløse et påstandstjek og crashe resolveren, når han forsøger at minimere QNAME efter omdirigering af en anmodning. Problemet vises kun på servere med QNAME-minifikation aktiveret og kører i 'frem først'-tilstand.
- — Angriberen kan påbegynde et påstandstjek og en nødafbrydelse af arbejdsgangen, hvis angriberens DNS-server returnerer forkerte svar med TSIG-signaturen som svar på en anmodning fra offerets DNS-server.
- — en angriber kan udløse påstandstjek og nødafbrydelse af handleren ved at sende specialdesignede zoneanmodninger underskrevet med en RSA-nøgle. Problemet opstår kun, når du bygger serveren med "-enable-native-pkcs11"-indstillingen.
- — en angriber, der har autoritet til at ændre indholdet af visse felter i DNS-zoner, kan få yderligere rettigheder til at ændre andet indhold i DNS-zonen.
Kilde: opennet.ru